`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Обнаружены уязвимости маршрутизаторов и сетевых хранилищ Netgear

+11
голос

Уязвимости интерфейсов управления некоторых беспроводных маршрутизаторов и сетевых устройств хранения производства Netgear могут стать воротами атак, причем для захвата устройств злоумышленникам будет достаточно одного HTTP-запроса, даже не требующего аутентификации.

Еще в апреле сотрудниками компании Tripwire были обнаружены уязвимости в системе хранения Netgear ReadyNAS — один HTTP-запрос мог дать доступ к устройству с правами администратора. Об ошибке была проинформирована Netgear, которая в июне выпустила новые версии прошивок 4.2.24 и 4.1.12, но, по мнению экспертов, многие устройства так и не обновили прошивку, а следовательно остались незащищенными.

Сотрудники консалтинговой компании Tactical Network Solutions, работающей в сфере безопасности, обнаружили множество уязвимостей в маршрутизаторе Netgear N600 Wireless Dual-Band Gigabit Router (WNDR3700v4), причем выпуск новой версии прошивки 1.0.1.42 улучшил ситуацию не намного.

Как сообщает Tactical Network Solutions, строка http:///BRS_02_genieHelp.html позволяет обойти аутентификацию для доступа ко всем страницам административного интерфейса маршрутизатора. Ошибка открывает возможности для проведения разнообразных атак, например можно сконфигурировать маршрутизатор так, чтобы он использовал вредоносный DNS сервер и перенаправлял пользователей на зловредные веб-сайты.

Уязвимость BRS_02_genieHelp.html фактически имеет два аспекта. К любой странице идентификации, которая начинается с BRS_ можно получить доступ без аутентификации, что уже ведет к утечке конфиденциальных данных (скажем, по запросу BRS_success.html выдается список паролей для сконфигурированных через маршрутизатор 2,4 ГГц и 5 ГГц WiFi сетей). Во-вторых, BRS_02_genieHelp.html устанавливает параметр hijack_process равным 1, поэтому даже после перезагрузки для доступа к веб-интерфейсу не потребуется аутентификация.

Аналогичная уязвимость была обнаружена ранее специалистами Independent Security Evaluators (ISE) в прошивке роутера Netgear CENTRIA (WNDR4700).

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

+11
голос

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT